【51CTO.com 綜合消息】揚州市煙草專賣局（公司）長期以來立足信息化建設，在功能和技術上的革新塑造了一個基礎結構穩(wěn)定、功能創(chuàng)新和執(zhí)行高效的網(wǎng)絡平臺，通過近10年的努力，如今的揚州煙草已經(jīng)取得了顯著的成績。擁有國際領先地位的網(wǎng)絡安全廠商——趨勢科技，針對揚州煙草的網(wǎng)絡和應用特點，結合趨勢科技多年在防病毒領域的成功經(jīng)驗、以及對煙草行業(yè)網(wǎng)絡結構的深入剖析，在云安全（Smart Protection Network）全球防毒架構下，提供了針對煙草行業(yè)網(wǎng)絡有效抵御病毒與黑客入侵的多層次安全解決方案。雙方深入合作，在Internet邊界、內(nèi)部網(wǎng)絡邊界、終端邊界上都分別配備了應對不同威脅的“守護神”，建造了一個病毒和木馬都無法生存的真空地帶。

安全是一個永恒的主題

據(jù)揚州煙草信息安全負責人張經(jīng)理介紹：“隨著十年來信息化進程的深入，以及互聯(lián)網(wǎng)技術的迅速發(fā)展，揚州煙草的信息資源得到了最大程度的利用。從2000年建立的早期撥號網(wǎng)絡、卷煙‘進、銷、存’系統(tǒng)建設、到后來的呼叫中心（Call Center）、網(wǎng)上訂貨、電子計算，再到2005年就開始的資源整合中心建設，緊隨信息化發(fā)展而來的網(wǎng)絡安全問題日漸突出，如果不很好地解決這個問題，必將阻礙信息化發(fā)展的進程。因此，安全防御對于我們來說，這將是一個永遠不能停止的任務?！?/P>

經(jīng)歷數(shù)年的建設，揚州煙草已經(jīng)實現(xiàn)業(yè)務網(wǎng)絡數(shù)據(jù)的大集中，所有的日常辦公、購銷存流程等業(yè)務均實現(xiàn)信息化，并且建立了大型的物流中心，分揀到戶、送貨上門。如今的網(wǎng)絡平臺，已經(jīng)包含了7臺小型機、50臺服務器分別承載著各自的業(yè)務系統(tǒng)，近千臺終端也已經(jīng)通過防火墻、入侵檢測系統(tǒng)（IDS）、VLAN等安全技術分屬在各個部門當中，承擔重任。但是在信息化不斷深入發(fā)展的同時，各種網(wǎng)絡威脅也隨之進入網(wǎng)絡，原有的傳統(tǒng)防病毒體系已經(jīng)不能應對多變威脅來源。張經(jīng)理對近年來的Web安全十分擔憂，他表示：“由于煙草行業(yè)的特殊性，揚州煙草兼顧政府部門和企業(yè)運營的雙重角色，企業(yè)性質的銷售系統(tǒng)和政府行業(yè)中的煙草專賣管理、辦公OA、郵件、網(wǎng)站都依賴網(wǎng)絡而存在。但由于Web病毒本身的特性，早期建立的防火墻、VLAN、以及單機的防毒系統(tǒng)，都不能在應用層，徹底消除員工因為誤點擊某個惡意連接就遭遇病毒的情況發(fā)生。隨著最近互聯(lián)網(wǎng)威脅的復雜化，信息中心對單一的終端防毒體系是否能夠很好地防護當前新形態(tài)威脅存在疑慮，因木馬病毒爆發(fā)而導致的網(wǎng)絡中斷、系統(tǒng)崩潰的情況，時常讓IT部門直忙得不可開交。

部署TDA  從堅守到主動出擊

在業(yè)務系統(tǒng)和日常辦公應用都存在的網(wǎng)絡里面，不但要應對顯性的病毒，還要應對無形的木馬黑手，IT人員疲憊不堪，這些威脅無論是數(shù)量、手段，還是性質、規(guī)模，已經(jīng)到了令人咋舌的地步。以前的“堅守原則”，可以應對企業(yè)信息化發(fā)展中的起步階段，但如今仍然采用這個原則必然會坐以待斃。針對這些威脅，更需要一個能夠支持從網(wǎng)絡層至應用層的多種綜合協(xié)議的網(wǎng)絡流量檢測產(chǎn)品，主動的探知相關事件的可疑威脅，還需要利用病毒掃描引擎分析文件內(nèi)容，達到深層次的威脅檢測。為了實現(xiàn)主動出擊的策略，揚州煙草的IT部門開始廣泛接觸各個知名安全廠商。在經(jīng)過需求量化、數(shù)據(jù)對比、現(xiàn)場測試、性能評估等一系列的動作之后，揚州煙草最終選擇了趨勢科技的威脅發(fā)現(xiàn)設備（Threat Discovery Appliance，簡稱TDA）。張經(jīng)理表示：“針對我們當時提出來的‘第一時間發(fā)現(xiàn)，第一時間預警，第一時間消除’的原則，當試用階段結束后，TDA幾乎是我們唯一的選擇?！?/P>

在部署趨勢科技的TDA之前，最讓IT部門頭痛的是筆記本電腦，這些終端攜帶外出很容易受到感染，再加上頻繁使用移動硬盤和U盤，病毒通過這些途徑很容易進入到煙草局的內(nèi)網(wǎng)。即使網(wǎng)絡中已經(jīng)部署了防火墻，內(nèi)部計算機也都有安裝客戶端防毒軟件，每天仍然會有計算機會中病毒。在部署TDA之后，發(fā)生在揚州煙草每一個網(wǎng)段的Web攻擊、網(wǎng)絡釣魚行為、病毒攻擊點和高危網(wǎng)絡通訊行為都在第一時間得到解決，這也就杜絕了向外界泄露數(shù)據(jù)或從僵尸網(wǎng)絡控制中心接收命令的木馬行為，這是傳統(tǒng)IDS和IPS安全產(chǎn)品所無法辦到的。另外，TDA同時還提供完善的網(wǎng)絡威脅日報、周報和月報信息，為計算運維成本、IT部門績效管理等，都提供了數(shù)據(jù)依據(jù)。對于張經(jīng)理帶領的IT部門來說，TDA就像一部全能型的雷達，不僅僅接收來自網(wǎng)絡上所有的訊號進行智能的分析，還能夠評估企業(yè)業(yè)務的安全風險，把每個網(wǎng)段的每一個角落都安裝了“放大鏡”。

網(wǎng)關和終端的雙重保障

隨著將各地區(qū)的供銷網(wǎng)絡和辦公網(wǎng)絡統(tǒng)一之后，集中起來的網(wǎng)絡更加難以管理。員工每天要接觸大量的網(wǎng)頁以獲取信息，但如今的“網(wǎng)頁掛馬”非常流行，讓這種正常訪問變得十分兇險，在不知不覺中就將威脅下載到了本地，輕者造成系統(tǒng)損壞，重者則是機密資料泄露和丟失。應該說TDA的功能和效果讓揚州煙草IT部門十分滿意，這也就讓大家對趨勢科技提供的其他產(chǎn)品和解決方案更加信賴。在重新評估威脅來源之后，安全建設開始重新考慮如何從網(wǎng)絡關口上防堵這些惡意的程序進入到企業(yè)的內(nèi)網(wǎng)中，并且希望利用終端防毒和網(wǎng)關防毒聯(lián)動起來，協(xié)作一致，在每個數(shù)據(jù)包通過的地方都攔截住病毒和木馬的攻擊。

在趨勢科技工程師的協(xié)助下，雙方一起對網(wǎng)關出的流量進行了細致的分析，并最終選擇了IWSA 5000這款安全網(wǎng)關設備。根據(jù)張經(jīng)理介紹：“與TDA一樣，使用IWSA的效果是可以量化的。從控制臺可以看見阻止了哪些用戶下載和在線安裝間諜軟件，同時對已經(jīng)感染間諜軟件的用戶設備，則可以攔截其對外部惡意網(wǎng)站主動發(fā)送用戶信息，一旦檢測到客戶端的間諜軟件行為在第一時間就能解決問題，極大的節(jié)省了人力投入?！辈渴餓WSA之后，至少可以在網(wǎng)關阻擋住90%以上的Web威脅，這樣的安全防護實力，即減輕了內(nèi)網(wǎng)的負載，也減輕了管理人員的工作壓力。根據(jù)揚州煙草的IWSA 5000報表顯示，現(xiàn)在平均每個月阻擋的惡意攻擊和惡意代碼下載為1000條左右，而在這之前，到底有多少惡意代碼已經(jīng)進入到網(wǎng)絡當中，是無從知曉的。

雖然兩款硬件產(chǎn)品（TDA和IWSA）的結合，最少頂替了數(shù)十人的IT團隊24小時監(jiān)控網(wǎng)絡，但每個終端的個體是否強壯,仍然是網(wǎng)絡安全中的難題，這些終端也是病毒和木馬的“最愛”。OfficeScan作為趨勢科技企業(yè)防護策略的經(jīng)典拳頭產(chǎn)品，在云安全架構中可以利用Web信譽技術（WRT）、郵件信譽技術（ERT）、文件信譽技術（FRT）技術，不但可以檢查位于終端、服務器的安全，最重要得一點是因為它可以與IWSA和TDA聯(lián)動起來，進行統(tǒng)一安全策略的執(zhí)行和部署。

三層防御體系之外還有一層

在部署了軟、硬件結合的立體化安全解決方案后，揚州煙草的網(wǎng)絡已經(jīng)具備了網(wǎng)關層（IWSA）→網(wǎng)絡層（TDA）→終端（OfficeScan）多層防護的功能。并且憑借著這樣的三層體系結構，IT部門多次在上級單位檢查中順利通過評審，不過張經(jīng)理提出“三層之后還有一層”的觀點。他認為：“這個觀點的基礎就是趨勢科技的云安全。絕大多數(shù)的組織和揚州煙草一樣，我們都在感嘆如今的網(wǎng)絡安全管理難度越來越大，復雜多變的威脅讓我無從應對，現(xiàn)在我們可以把更多的具體工作都交給云端處理，正是它讓將難以駕馭的安全管理變得簡單可控?！?/P>